论文部分内容阅读
当前,云计算先进的技术优势、灵活的部署模式、按需提供的计算能力、高性价比的使用成本等特点吸引着越来越多的用户将其业务上云,基于云计算的服务模式得到广泛应用和发展,人们的日常生活已经和基于云计算提供的各类信息服务息息相关。在云服务技术快速发展并向各领域广泛运用的同时,云服务所面临的安全问题也日益突出,包括了传统网络空间安全威胁和云服务场景所带来的新挑战,这些威胁产生的根源主要是来自已知或未知的各类软硬件部件的漏洞和后门。而且,云服务平台通过集成现有技术的软硬件基础设施进行构建,各部件已有的漏洞和后门也加剧向云服务平台聚集,其每个层面或部件出现的漏洞和后门都将直接影响整个平台的正常安全运作。漏洞和后门已经成为影响云服务安全的重要问题,该安全问题已经成为阻碍用户将应用迁移至云平台的重要因素之一。然而,现有的云服务安全防护技术大多是基于威胁特征、行为感知等需要先验知识的被动式防御,这类技术需要不停的找漏洞并给系统打补丁,难以有效抵御基于软硬件未知漏洞或后门等的不确定威胁。国内团队提出的网络空间拟态防御(Cyber Mimic Defense,CMD)技术克服了传统安全方法的诸多问题,面对未知漏洞后门、病毒木马等不确定威胁时具有显著效果,该技术和云服务平台动态池化资源的异构冗余特性也较为契合。因此,本文基于CMD技术理论研究云服务的拟态防御技术,利用云服务的技术和模型特点,研究拟态化云服务的构造方法以及拟态执行体的调度方法和输出裁决方法,并提出一种基于拟态云服务架构的5G核心网统一数据管理(Unified Data Management,UDM)网元构建方法,最后,研究实现一个轻便的拟态云服务仿真环境。本文的主要研究内容包括:1.针对当前云服务节点采用静态单一的执行体结构,难以应对未知安全威胁的问题,提出一种拟态云服务架构,从结构上提升云服务防御漏洞和后门的能力。首先,对云服务的特点和面临的安全威胁进行分析,找到安全薄弱点并针对其提出可行的拟态化云服务构造方法。然后通过梳理拟态防御相关理论,设计了一种面向云服务节点的拟态化云服务架构,改变了现有服务节点的单一静态结构。该架构把云服务节点改造为拟态服务包,以拟态服务包的模式向用户提供原节点的服务,拟态服务包以动态异构冗余(Dynamical,Heterogeneous and Redundant,DHR)构造为基础架构,利用云平台提供的异构冗余计算资源作为其执行体,通过执行体调度机制提供其动态性,通过拟态裁决机制保障其输出一致性。最后,利用本文设计的拟态云服务仿真环境对架构的安全性做了测试和分析。2.针对拟态云服务架构中执行体的调度机制,提出一种基于时空相似度模型的执行体调度方法。首先分析现有的执行体相似度模型和调度机制,针对现有相似度模型不能全面反映共有漏洞的时空特性,且调度机制没有综合兼顾动态性和异构性的平衡问题,提出一种时空相似度模型。然后依据该模型给出执行体调度指标,并利用该指标提出一种基于优先级和时间片的执行池调度算法,该算法基于执行池相似性指标进行优先级预排序,结合时间片等策略进行执行池调度。最后,对算法动态性、相似度及耗时进行了实验和分析比较,结果表明,所提的调度方法有较好的动态性,结合时间片策略能够获得动态性和异构性的综合平衡,且调度的耗时较低。3.针对拟态云服务架构中执行体的输出裁决机制,提出一种基于模板和置信度的输出裁决方法。首先分析了现有的执行体输出裁决方法和机制,针对执行体输出不规则数据给裁决机制带来较高复杂性,且现有可信度评分方法存在不足的问题,对面向应用的云服务接口特点进行了分析,结合云服务接口标准化、传输数据结构化的特点,提出基于模板的响应数据裁决方法。然后,针对大数裁决失效问题,提出基于置信度指标的裁决修正方法;其中,该置信度指标综合了执行体历史表现和漏洞评分因子,能够动态兼顾执行体的历史表现和漏洞评分,进而可动态化的反映执行体的可信度。最后,通过实验对置信度机制的有效性进行了测试和分析。4.针对5G核心网UDM网元面临的安全威胁,提出一种基于拟态云服务架构的UDM网元构建方法。首先简要介绍5G系统的UDM网元服务模型和其面临的数据泄露和数据篡改威胁,然后基于拟态云服务架构提出拟态UDM网元的构建方法,并通过实验测试了拟态UDM的网元功能以及其针对数据泄露和数据篡改的安全防护能力。结果表明,构建的拟态UDM能够履行其网元的正常服务功能,并且能够对数据泄露和数据篡改安全威胁起到防护作用,为通过拟态防御技术提高5G核心网的安全性提供了一种实践方法。5.针对拟态云服务研究工作缺少便捷高效的实验评估工具的现实需求,提出并实现一种拟态云服务仿真环境。首先,分析了当前拟态防御相关研究在开展实验评估工作时,大都需要构建价格高昂且组成复杂的实体环境的现状。然后,分析了当前面向云计算的各类模拟仿真环境和工具的发展现状。通过对拟态云服务仿真环境的需求分析和技术选型,提出基于Cloud Sim工具进行扩展开发,设计实现了一种拟态云服务仿真环境,期望为基于云计算的拟态防御相关机制和技术研究提供一种轻量便捷且高效廉价的建模仿真工具。该仿真环境按照DHR架构设计实现,本文分别对系统各组成部分的设计实现进行了介绍,并通过接口模式提供对用户自定义策略的支持。最后,通过裁决机制演示了仿真环境的功能,并测试其性能。